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Abstract of DE1 961 81 05 

The computer system operating method has computer units (1-3) interconnected via a data bus (4-6) 
and on which each computer unit has one store (31 ,32). One copy of the software program running on 
each computer unit (1-3) is stored, with the status of the given software program cyclically transferred 
from each computer unit (1-3) to the other computer units. The received status is stored (1-3) and the 
relevant software program started, if a disruption occurs in one computer unit (3), on another computer 
unit (2), or distributed on to several other computer units (1 ,2), with the last stored status utilised. 
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Prufungsantrag gem. § 44 PatG ist gestellt 

@ Rechnersystem und Verfahren zum Betreiben eines Rechnersystems 

@ Die Erfindung schlagt ein Verfahren zum Betreiben eines 
Rechnersystems vox, welches aus wenigstens zwei Rechner- 
einheiten besteht, die Ober einen D ate n bus miteinander 
verbunden sind. Jeder Rechner hat einen Speicher und eine 
Schnittstelle zu dem Datenbus. GemaB dem hier offenbar- 
ten Verfahren wird eine Kopie der Programme, die auf jeder 
Recheneinheit iaufen, in den Speichem der jeweils anderen 
Recheneinheiten gespeichert. Der Status der laufenden 
Programme wird zykUsch Ober den Datenbus von jeder 
Recheneinheit zu den jeweils anderen Recheneinheiten 
ubertragen und dort gespeichert. Wenn eine Recheneinheit 
gestort ist, wird eine Kopie der entsprechenden Software- 
Programme auf einer anderen Recheneinheit unter Verwen- 
dung des zuJetzt gespeicherten Status gestartet. Gema& 
^ einer vorteilhaften Ausfuhrungsform ist jede Recheneinheit 
^ uber ein Peripheriebus mit Peripheriegeraten verbunden. Die 
Peripheriebusse der elnzelnen Rechnereinheiten sind uber 
Lf) gesteuerte Sch alter miteinander verbindbar, so daS bet 
O Storung einer Recheneinheit deren Peripheriebus mit dem 
Peripheriebus der anderen Rechnereinheit verbunden wer- 
CO den kann, auf der die Software-Programme der gestorten 
^ Rechnereinheit gestartet wird. 
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Beschreibung 

Die Erfindung betrifft ein Rechnersystem und ein 
Verfahren zum Betreiben eines Rechnersystems, insbe- 
sondere eines Rechnersystems fiir Landfahrzeuge, wel- 
ches mehrere redundante Komponenten aufweist 

In zivilen und militarischen An wendungen, z. B. in der 
Flugtechnik, bei militarischen Landfahrzeugen, in Kern- 
kraftwerken usw., spielt der Einsatz von elektronischen 
Komponenten und Computern zur Unterstfitzung der 
Bedienung und Steuerung durch den Menschen und zur 
Steigerung der Leistungsf ahigkeit eine immer groBere 
Rolle. 

Im Zuge der Automatisierung von Routine- und 
Steuerungsaufgaben sowie der Verringerung der Ar- 
beitskr&fte werden traditionelle Aufgaben des Men- 
schen zunehmend von Rechnem und daran angeschlos- 
senen Peripheriegeraten unterstutzt bzw. ubernommen. 
Insbesondere bei so kritischen Anwendungen, wie den 
oben genannten, erfordern das Umfeld, in dem die 
Rechner arbeiten, sowie die Sicherheitsanforderungen 
eine maximaie Zuverlassigkeit, die in der Regel durch 
geeignete Redundanzmechanismen erreicht werden 
kann Andererseits verbieten es straff e Kostenvorgaben 
im Verteidigungs- wie im Zivilbereich haufig, technisch 
aufwendige LSsungen, wie die Mehrfachauslegung von 
Systemen, zur Erhohung der Zuverlassigkeit einzuset- 
zen. 

Fiir den Einsatz von Rechnem in sicherheitskritischen 
Bereichen, wie der Avionik oder der Kernkraftwerk- 
stechnik, sind Systeme bekannt, mit denen eine Redun- 
danz und Auswahlsicherheit von Rechnem bzw. Rech- 
nerverbunden erreicht wird. Bei diesen Systemen wer- 
den sicherheitskritische Baugruppen, zu denen gerade 
die Rechner selbst gehoren, mehrfach ausgelegt Wenn 
der Ausfall einer Baugruppe erkannt wird, bewirkt ein 
geeigneter Steuermechanismus, daB eine zusatzliche Er- 
satzbaugruppe die Aufgabe der ausgefallenen Baugrup- 
pe ubernimmt Diese Ersatzbaugruppe wird nur fur den 
Zweck der Redundanz bereitgehalten und ist normaler- 
weise nicht aktiviert Durch diese Mehrfachauslegung 
der Systeme entstehen jedoch sehr hohe Kosten. Die 
mehrfach bereitgestellte Hardware, die im ungestdrten 
Betrieb nicht genutzt wird, stellt femer eine groBe Re- 
sourcenverschwendung dar. 

Es ist somit eine Aufgabe der vorliegenden Erfindung, 
ein Rechnersystem und ein Verfahren zum Betreiben 
des Rechnersystems anzugeben, die insbesondere fur 
sicherheitskritische Anwendungen eine zufriedenstel- 
lende Ausfallsicherheit gewahrleisten, ohne zu einem 
erheblichen Mehraufwand an Hardware und somit Ko- 
sten zu ffihren. 

Diese Aufgabe wird durch ein Verfahren nach An- 
spruch 1 und ein Rechnersystem nach Anspruch 9 ge- 
I6st 

Die Erfindung sieht ein redundantes Rechnersystem 
vor, das aus mehreren Rechnereinheiten besteht, die 
fiber schnelle Datenverbindungsbusse miteinander ver- 
bunden sind. Die Software-Programme, welche auf den 
jeweiligen Rechnereinheiten laufen, sind in einem Mas- 
senspeicher oder in einem Arbeitsspeicher jeweils jeder 
Rechnereinheit gespeichert Bei Ausfall einer Rechner- 
einheit bzw. eines Rechners kann dessen Aufgabe voll- 
standig von anderen, im System vorhandenen Rechnem 
ubernommen werden. Hierfur werden die Programme 
des ausgefallenen Rechners entweder insgesamt in ei- 
nem anderen Rechner des Systems gestartet, oder sie 
werden auf mehrere Rechner in dem System verteilt Zu 
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einem gegebenen Zeitpunkt ist dabei jeweils nur eine 
Version eines Anwendungsprogramms in einer Rech- 
nereinheit aktiv. 

Wahrend des Betriebs wird zyklisch der Status, z. B. in 
5 der Software vereinbarte globale und statische Varia- 
ble, fiber den schnellen Datenverbindungsbus an die an- 
deren Rechnereinheiten ubertragen. Die Rechnerein- 
heiten speichern den empf angenen Status. Somit stehen 
jeder Rechnereinheit zu jedem Zeitpunkt sowohl die 
io Software-Programme aller Rechnereinheiten als auch 
die aktuelle Information fiber den Status dieser Pro- 
gramme zur Verfugung. 

Auch bei Ausfall mehrerer Rechner bleibt das Ge- 
samtsystem noch funktionsfahig, weil jede Rechnerein- 
15 heit jede andere ersetzen und deren Software-Program- 
me mit den aktuellen Variablen starten und abarbeiten 
kann. Sogar bei Ausfall aller Rechner bis auf einen kann 
der Betrieb fortgesetzt werden, weil jeder Rechner die 
Software und den aktuellen Status der anderen Rechner 
20 kennt und starten kann, wobei in diesem Fall jedoch die 
Leistungsf ahigkeit des Gesamtsystems herabgesetzt 
sein kann. 

Zur Erreichung der Redundanz mussen bei der Erfin- 
dung keine Systemkomponenten vorgehalten werden, 

25 die fur den regulSren, ungestdrten Betrieb nicht ben6- 
tigt werden; vielmehr ist jede Rechnereinheit in Betrieb, 
dabei jedoch so ausgelegt, daB sie die Funktion anderer 
Rechnereinheiten Qbernehmen kann* Dadurch entsteht 
ein erheblicher Vorteil gegenuber den bekannten L5- 

30 sungen. 

Vorzugsweise sind die verwendeten Rechnereinhei- 
ten im wesentlichen identisch aufgebaut, was die Be- 
schaffung, Wartung und Pflege der Rechnereinheiten 
vereinfacht 

35 ErfindungsgemaB sind zwei bevorzugte Verfahren 
zur Ermittlung des Rechners, der die Aufgabe eines aus- 
gefallenen Rechners ubernehmen soil, vorgesehen. Bei 
einer ersten Variante sind die Regeln ffir die Obernah- 
me in tabellenartiger Form im voraus festgelegt und als 

40 Datei in alien Rechnereinheiten gespeichert Bei einer 
alteraativen Variante ermittelt jede Rechnereinheit zy- 
klisch ihren Auslastungsgrad und sendet diesen zu alien 
anderen Rechnem. Die Ausiastungsgrade der einzelnen 
Rechnereinheiten werden verglichen, und die Rechner- 

45 einheit mit der geringsten Auslastung Qbernimmt die 
Aufgabe der ausfallenden Rechnereinheit Der Ausla- 
stungsgrad kann entweder zyklisch ermittelt werden 
oder immer dann, wenn eine Stdrung auftritt und die 
Aufgaben eines Rechners von einem anderen ubernom- 

50 men werden mussen. 

Die Software-Programme, welche ursprfinglich auf 
einem gestdrten Rechner gelauf en sind, kdnnen von ei- 
ner Rechnereinheit ubernommen oder auf mehrere 
Rechnereinheiten verteilt werden. Bei den eingesetzten 

55 Rechnem handelt es sich vorzugsweise urn sogenannte 
Multi-Taskmg-Rechner. Multi-Tasking-Rechner kdn- 
nen gleichzeitig parallel mehrere Programme, z. B. zur 
Steuerung unterschiedlicher Peripheriegerate, abarbei- 
ten. Diese verschiedenen Programme werden bei Aus- 

60 fall des Rechners zweckmaBigerweise auf mehrere der 
verbleibenden Rechnereinheiten verteilt, urn eine mog- 
lichst gleichmaBige Auslastung des Gesamtsystems zu 
erreichen. 

Bei einer besonders vorteilhaften Variante der Erfin- 
65 dung werden die Software- Programme aller Rechner- 
einheiten beim Systemstart jeweils in den Arbeitsspei- 
cher der anderen Rechnereinheiten geladen und gestar- 
tet, jedoch im Regelf all nicht aktiviert Das heiBt, daB zu 
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einem gegebenen Zeitpunkt immer nur eine Version zugreifen, oder er kann, wie in Fig. 1 gezeigt, aus einzel- 

jedes Software-Programms aktiv ist und somit an der nen Datenverbindungen 4, 5, 6 bestehen, weiche jeweiis 

Rechenverarbeitung und dem Datenverkehr teilnimmt zwischen zwei Rechnereinheiten bestehen. 

Bei Ausfall einer Rechnereinheit wird dann eine andere Bei dem Datenverbindungsbus handelt es sich vor- 

Version desselben Software-Programms, das auf dem 5 zugsweise urn eine Hochgeschwindigkeitsverbindung 

ausgefallenen Rechner lief, aktiviert Daraus ergibt sich mit einer Obertragungsrate von mindestens 10 Mbit/s. 

eine schnellere Reaktionszeit bei Storungen von einzel- Die Rechnereinheiten sind bei der gezeigten Ausfuh- 

nen Rechnereinheiten. rungsform im wesentlichen gleich aufgebaut Eine Rech- 

Der Datenbus zwischen den Rechnereinheiten ist nereinheit besteht im wesentlichen aus den Baugruppen, 

vorzugsweise eine aus dem Stand der Technik an sich 10 die in Fig. 2 schematises gezeigt sind. In einer GeMuse- 

bekannte Hochgeschwindigkeitsdatenverbindung, wo- einheit 30 mit rechnerublichen Einbauten, z. B. Netzteil 

mit hier Datenverbindungen mit einer Obertragungsra- und Backplane, beflnden sich die Baugruppen Zentral- 

te von mindestens 10 Mbit/s verstanden werden soilen. einheit mit Hauptspeicher und CPU 31, Massenspeicher 

GemaB einer besonders vorteilhaften AusfQhrungs- und Controller 32, eine Schnittstellenbaugruppe 33, wel- 

form der Erflndung ist jede Rechnereinheit fiber einen 15 che fur den AnschluB an die schnelle Datenverbindung 

zugeordneten Peripheriebus mit Peripheriegeraten ver- 4, 5 und 6 dient, und eine Schnittstellenbaugruppe 34, 

bunden. Sie sendet und empf angt Signale zu und von weiche fur den AnschluB an die Peripheriebusse 7, 8 und 

den Peripheriegeraten, die von der Software weiterver- 9 dient 

arbeitet werden. Die Vernetzung von Peripheriegeraten Diese Baugruppen entsprechen dem Stand der Tech- 
fiber Peripheriebusse ist an sich z. B. aus der Automati- 20 nik, und sie werden daher hier nicht weiter spezifiziert 

sierungstechnik bekannt ErfindungsgemaB beflndet Die schnellen Datenverbindungen 4, 5 und 6 bzw. der 

sich jeweiis zwischen zwei Peripheriebussen ein elek- Datenverbindungsbus sind mit den nach dem Stand der 

tronisch steuerbarer Schalter, fiber den die Peripherie- Technik fiblichen Mitteln aufgebaut, z. B. mit Glasfaser- 

busse derart miteinander verbunden werden konnen, kabeln oder Kupf erleitungen. 

daB zwei Rechnereinheiten, denen die beiden Periphe- 25 An jede Rechnereinheit 1, 2 und 3 ist, wie in Abb. 1 

riebusse jeweiis zugeordnet sind, Zugriff auf beide Peri- gezeigt, ein Peripheriebus 7, 8 und 9 angeschlossen, an 

pheriebusse und die angeschlossenen Peripheriegerate denen wiederum Peripheriegerate 13 bis 25 angeschlos- 

haben. Somit kann eine Rechnereinheit nicht nur die sen sind. Diese Peripheriegerate stellen die Schnittstel- 

Software-Programme, einschlieBlich dem aktuellen Sta- len zwischen den Rechnereinheiten und der Umwelt 
tus einer anderen Rechnereinheit fibernehmen, sondern 30 dar, und sie umfassen Sensoren, Aktuatoren, Anzeigen, 

auch auf deren Peripheriegerate zugreifen. Bedienelemente, Bediengerate und dergleichen. Die Art 

Die voriiegende Erfindung ist besonders vorteilhaft und Anzahl der Peripheriegerate hangt ab von der 

bei solchen Fahrzeugen und Anlagen einsetzbar, weiche Funktion, die von der jeweiligen Rechnereinheit in Ver- 

auf eine Vielzahl von Sensoren, Aktuatoren, Anzeigen, bindung mit den Peripheriegeraten erfullt werden solL 
Bedienelemente und dergleichen zugreifen und diese 35 Typische Bedienelemente bei Landfahrzeugen sind z. B. 

steuern und die besonderen Sicherheitsanforderungen Lenkhandel, Gas- und Bremspedal, Richtgriff zur Steue- 

unterliegen, wie militarische Landfahrzeuge. Die voriie- rung von Sichtgeraten usw. Typische Aktuatoren sind 

gende Erfindung schafft eine Redundanz der System- Stellmotoren fur die Positionierung der Sichtmittel oder 

komponenten, ohne einzelne Komponenten ausschlieB- zur Steuerung von Fahrfunktionen. 
Iich fur den Ersatz ausgefallener Komponenten vorzu- 40 Die einzelnen Peripheriebusse 7, 8 und 9 sind gaiva- 

halten. Dadurch konnen besonders kostengfinstige Sy- nisch voneinander getrennt, sie konnen jedoch durch 

steme en tworf en werden, die genauso zuverlassig sind, Schalterbaugruppen 10, 11 und 12, bei der gezeigten 

wie die Systeme mit Mehrfachauslegung nach dem Ausffihrungsform paarweise, miteinander verbunden 

Stand der Technik. werden. Die Schalterbaugruppen enthalten steuerbare 
Durch die offene Struktur ist das erfindungsgemaBe 45 Schalter, wobei die Steuerung der Schalter fiber die 

Rechnersystem ferner leicht um zusatzliche Funktionen Peripheriebusse erfolgt; d h. jede von zwei Rechnerein- 

erweiterbar. Diese werden lediglich an den Datenbus heiten 1 und 2, 2 und 3, 3 und 1, deren Peripheriebusse 7 

angeschlossen, und ihre zugeordneten Peripheriebusse und 8, 8 und 9, 9 und 7 von einer Schalterbaugruppe 10, 

werden fiber Schalter mit den Peripheriebussen der an- 11 bzw. 12 verbunden werden konnen, kann den ent- 
deren Rechnereinheiten verbunden. 50 sprechenden Schalter dffnen oder schlieBen. Jede Schal- 

Weitere Vorteile und Merkmale der vorliegenden Er- terbaugruppe 10, 12 ist hierfur fiber zwei Schnittstellen 

fmdung ergeben sich aus der folgenden detaillierten Be- an die benachbarten Peripheriebusse 7 und 8, 8 und 9, 9 

schreibung mit Bezug auf die Zeichnung. In den Figuren und 7 angeschlossen. 

zegen: Das oben beschriebene System wird erfindungsge- 

Flg. 1 erne schemadsche Darsteilung eines Rechner- 55 maB nach dem im folgenden beschriebenen Verfahren 

systems gemaB der vorliegenden Erfindung, betrieben, um bei Stdrung oder Ausfall einer Rechner- 

Fig. 2 eine schematische Darsteilung einer Rechner- einheit deren Funktion auf andere zu fibertragen, ohne 

einheit, und die Funktionsfahigkeit des Gesamtsystems zu beein- 

Fig. 3 erne ahnhche Ansicht wie Fig. 1, wobei jedoch trachtigen. 

eine ausgefallene Rechnereinheit gestrichelt gezeichnet 6 o Zunachst ist die Arbeitsweise des Rechnersystems im 

lst - Normalzustand beschrieben, d. h. bei Funktionsfahig- 

Fig. 1 zeigt erne beispielhafte Ausfuhrungsform der keit aller Rechnereinheiten; dann wird das Verfahren 

vorliegenden Erfindung. Diese besteht aus zwei oder beschrieben, das zur Anwendung kommt, wenn eine 

mehr, bei dem gezeigten Beispiel drei Rechnereinheiten Rechnereinheit gestort ist oder ganz ausfallt 

1, 2 und 3, weiche fiber einen schnellen Datenverbin- 6 5 Im Normalzustand erfflUt jeder Rechner 1, 2, 3 die ihm 

dungsbus 4, 5 und 6 miteinander verbunden sind. Der zugewiesene Aufgabe. Das geschieht dadurch, daB auf 

Datenverbindungsbus 4, 5, 6 kann ein ringfdrmiger Bus dem Rechner ein Software-Programm, oder eine Soft- 

sem, auf den die jeweiligen Rechnereinheiten 1, 2 und 3 ware, lauft, welches die Information von den Peripherie- 



DE 196 

5 

geraten 13 bis 25 empfangt und verarbeitet und seiner 
Aufgabe gemaB entsprechende Daten, Befehle und der- 
gleichen an die Peripheriegerate sendet Diese Software 
wird in der Regel automatisch nach dem Einschalten 
jeder Rechnereinheit gestartet Daruberhinaus beflndet 
sich auf dem Massenspeicher jeder Rechnereinheit je 
eine Kopie der Software-Programme, welche auf den 
anderen Rechnereinheiten lauf en. Diese Softwarekopie 
wird im Normalzustand nicht in den Arbeitsspeicher 
geladen und nicht aktiviert 

Ein wichtiges Merkmal der Erfindung ist, daB jeder 
Rechner zyklisch, z. B. im Abstand von wenigen Sekun- 
den, seinen internen Status uber die Hochgeschwindig- 
keitsdatenverbindung 4, 5 und 6 an alle anderen Rech- 
ner sendet Der interne Status wird hier reprasentiert 
durch die Inhalte der in der Software vereinbarten glo- 
balen und statischen Variables Jede Rechnereinheit 1, 2, 
3 speichert die empfangenen Daten der anderen Rech- 
nereinheiten in seinem Speicher, z. B. dem Hauptspei- 
cher 31 oder dem Massenspeicher 32. Ferner fuhrt jede 
Rechnereinheit zyklisch einen Selbsttest durch. Das Er- 
gebnis dieses Selbsttests wird ebenf alls uber die schnelle 
Datenverbindung 4, 5, 6 zu den anderen Rechnern ge- 
sendet Jeder Rechner empfangt diese Selbsttest-Mel- 
dungen der anderen Rechner und analysiert sie. AuBer- 
dem wird Gberpruft, ob innerhalb einer vorher verein- 
barten Zeit eine Selbsttest-Meldung empfangen wird 
(Watchdogfunktion). 

Tritt in einem Rechner eine Storung auf, die den 
Rechner daran hindert, seine Aufgabe korrekt auszu- 
fiihren, meldet dieser seine Storung in der zyklisch ge- 
sendeten Selbsttest-Meldung. Falls der Rechner so stark 
gestdrt ist, daB er keine Meldung mehr senden kann, 
z. B. bei einem Totalausf all, wird von den anderen Rech- 
nereinheiten das Ausbleiben der Meldung durch die 
Watchdogfunktion erkannt 

Zur Veranschaulichung ist die Ausfallsituation in 
Fig. 3 dargestellt Hier wird angenommen, daB die 
Rechnereinheit 3 ausfallt Sie ist daher gestrichelt ge- 
zeichnet Sobald die anderen Rechner 1, 2 eine Storung 
bzw. den Ausf all des Rechners 3 erkannt haben, wird mit 
einem der unten naher beschriebenen Verfahren ein 
Rechner ermittelt, welcher die Aufgabe des ausgefalle- 
nen ubernehmen solL Dieser Rechner, z. B. Rechner 2, 
ladt die Kopie der Software, die auf dem ausgefallenen 
Rechner gelaufen ist, d. h. in diesem Fall die Kopie der 
Software des Rechners 3, von seinem Massenspeicher 
32 in seinen Arbeitsspeicher 31 und startet sie. Durch die 
Verwendung eines Multi-Tasking-Betriebssystems auf 
alien Rechnern wird hierbei die Ausfuhrung der bis da- 
hin iaufenden Software nicht unterbrochen. Beim Star- 
ten der neuen Software (des Rechners 3) werden die 
zuletzt von diesem ausgefallenen Rechner 3 gesendeten 
Statusdaten als Initialisierungswerte der globalen und 
statischen Variablen der Software verwendet Dadurch 
ist der Betriebszustand der Software praktisch identisch 
mit dem Stand, den der ausgefallene Rechner 3 kurz vor 
der Storung hatte. Ferner schickt der "Ersatzrechner" 2 
Qber seinen zugeordneten Peripheriebus 8 einen Befehl 
an die Schalterbaugruppe 11, urn die Verbindung zwi- 
schen den Peripheriebussen 8 und 9 zu schlieBen. Damit 
hat der Rechner 2 Zugriff auf alle Peripheriegerate 17 
bis 21, die ursprunglich von dem gestdrten Rechner 3 
verwaltet wurden. Somit kann der Rechner 2 die Aufga- 
be des gestdrten oder ausgefallenen Rechners ohne Ein- 
schrankung und ohne Datenverlust weiterfuhren. 

Die Rechenleistung der Rechnereinheiten 1, 2, 3 wird 
beim Entwurf vorzugsweise so gewahlt, daB die Mehr- 
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belastung der CPU keine stdrenden Leistungsverluste 
verursacht Bei einer alternativen Ausfuhrungsform 
kann vorgesehen sein, die Software-Programme eines 
gestdrten Rechners auf mehrere der ungestorten Rech- 
5 ner zu verteilen, so daB eine gleichmaBigere Auslastung 
der ungestdrten Rechnereinheiten erzielt wird. Insbe- 
sondere fur den Worst-Case, daB alle Rechnereinheiten 
bis auf eine ausf alien, ist es ferner zweckmaBig den ein- 
zelnen Software-Programmen Priori taten zuzuweisen, 
io so daB bei einer Oberlastung der verbleibenden, unge- 
storten Rechnereinheit gewahrleistet i$t, daB die Soft- 
ware-Programme hdchster Priori tat weiterlaufen kon- 
nen. 

Fur die Ermittlung des oder der Rechner, welche die 

15 Aufgabe eines ausgefallenen Rechners ubernehmen sol- 
len, konnen folgende Verfahren eingesetzt werden: 
Bei einer ersten Ausfuhrungsform wird bei dem Entwurf 
des Systems fur alle denkbaren Kombinationen von 
Rechnerausfallen festgelegt, welcher Rechner welche 

20 Aufgaben oder Programme Ubernehmen soli. Diese 
Festlegung kann z. B. in Form einer Tabelle dargestellt 
werden. In jedem Rechner ist diese Tabelle als Datei 
gespeichert Bei Ausf all eines Rechners ermitxeln die 
anderen Rechner auf der Basis dieser Tabelle, welcher 

25 Rechner die Aufgabe des ausgefallenen Rechners uber- 
nehmen soil bzw. auf welchen Rechnern welche Softwa- 
re-Programme des ausgefallenen Rechners gestartet 
werden sollen. 

GemaB einer zweiten Ausfuhrungsform ermitteln alle 

30 Rechner laufend ihren Auslastungsgrad. Dieser wird 
den anderen Rechnern entweder zyklisch oder bei Be- 
darf, d. h. bei Auftreten einer Storung, mitgeteilt Bei 
Ausfall eines Rechners ubernimmt dann automatisch 
der Rechner mit der geringsten Auslastung dessen Auf- 

35 gaben. 

Das erdrterte Ausffihrungsbeispiel der vorliegenden 
Erfindung bezog sich auf eine Konfiguration mit drei 
Rechnereinheiten und den Ausfall der Rechnereinheit 3. 
Das dargelegte Beispiel ist selbstverstandlich ubertrag- 

40 bar auf Systeme mit zwei, vier oder mehr Rechnern, auf 
den Ausfall einer beliebigen anderen Rechnereinheit so- 
wie auf den Ausfall von mehr als einer Rechnereinheit, 
solange noch mindestens eine Rechnereinheit funk- 
tionsf ahig ist Es wird erwartet, daB Rechnersysteme mit 

45 3 bis 4 Rechnereinheiten eine gute Betriebssicherheit 
bei vertretbarem Verwaltungsaufwand und Kosten er- 
geben. Auf jedem Rechner kdnnen gleichzeitig parallel 
mehrere Programme lauf en. 
Anstatt die Aufgaben eines Rechners vollstandig an 

so einen anderen Rechner zu ubertragen, kann, wie gesagt, 
auch vorgesehen sein, dessen Aufgaben auf mehrere 
verbleibende Rechner zu verteilen. Die Aufgabenvertei- 
lung ist bei einer Ausfuhrungsform im voraus in einer 
Tabelle festgelegt, sie kann auch gemaB eines Algorith- 

55 mus ermittelt werden. Die Schalterbaugruppen 10, 11, 
12 der Peripheriebusse werden so geschaltet, daB jeder 
Rechner, der eine Aufgabe oder Teilaufgabe des oder 
der ausgefallenen Rechner Ubernimmt, Zugriff auf de- 
ren Peripheriebusse haben. 

60 Anstelle der ringformigen Anordnung der Peripherie- 
busse 7, 8 und 9 kann z. B. auch eine sternformige An- 
ordnung vorgesehen werden, bei der die Peripheriebus- 
se bei einem entsprechenden Knotenpunkt miteinander 
verbunden werden kdnnen. 

65 Im folgenden ist eine vorteilhafte Modifikation des 
erfmdungsgemaBen Verfahrens beschrieben. Bei der 
Obernahme der Aufgabe eines ausgefallenen Rechners 
durch einen anderen entsteht eine Zwischenphase, in 
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der die Aufgabe nicht ausgefuhrt wird. Diese dauert 
vom Ausfall des Rechners Qber die Erkennung des Aus- 
fallzustands durch die anderen Rechner, das Scfaalten 
der Peripheriebusse, bis zur Beendigung des Startvor- 
gangs der entsprechenden Software des ausgefallenen 5 
Rechners auf dem Ersatzrechner. Wahrend sich die er- 
ste Phase bis zura Erkennen des AusfaUs in der Praxis 
beliebig verkurzen lafit, indem die Wiederholrate der 
Selbsttestmeldung erhdht sowie entsprechend die Zeit- 
konstante der Watchdogfunktion verringert wird, hangt 10 
die Dauer des Startvorgangs der Software von zahlrei- 
chen Parametern, wie der Komplexitat der Software 
und der Schnelligkeit und Leistungsfahigkeit des Mas- 
senspeichers und der Zentraleinheit ab. Als eine vorteil- 
hafte Alternative zu dem oben beschriebenen Verfah- 15 
ren wird daher vorgeschlagen, nach Einschalten der 
Rechner alle Software-Programme, die fur die Ausfuh- 
rung der unterschiedlichen Aufgaben bendtigt werden, 
in die Hauptspeicher alle Rechnereinheiten zu laden. 
Die geladenen Programme werden dann alle bis auf das, 20 
welches die ursprungliche Aufgabe der jeweiligen 
Rechnereinheit durchfuhrt, in einen passiven Zustand 
oder Ruhezustand versetzt Bei Obernahme der Funk- 
tion eines ausgefaUen Rechners braucht dann nur noch 
das entsprechende Programm mit den aktuellsten Da- 25 
ten initialisiert und aktiviert werden. Der langwierige 
Lade- und Startvorgang entfailt, und die Reaktionszeit 
verkurzt sich. 

Bei einem Rechnersystem mit sehr vielen Rechnerein- 
heiten kann ferner vorgesehen sein, daB nicht jede 30 
Rechnereinheit Kopien der Software-Programme aller 
anderen Rechnereinheiten speichert und gegebenenf alls 
starten kann, sondern daB vorab eine Zuordnung in 
Gruppen festgelegt wird, gemfiB derer bestimmte Rech- 
nereinheiten als "Ersatzrechner" fQr bestimmte andere 35 
Rechnereinheiten bereitgehalten werden, wodurch der 
Speicherbedarf in jeder Rechnereinheit herabgesetzt 
wird und die Verbindung der Peripheriebusse uber- 
schaubar bleibt 

Die in der vorstehenden Beschreibung, den Anspru- 40 
che und der Zeichnung offenbarten Merkmale k6nnen 
sowohl einzeln als auch in beliebiger Kombination we- 
sentlich filr die Verwirklichung der Erfindung sein. 

Patentanspruche 45 

1. Verfahren zum Betreiben eines Rechnersystems, 
welches aus wenigstens zwei Rechnereinheiten (1, 
2, 3) besteht, die fiber einen Datenbus (4, 5, 6) mit- 
einander verbunden sind, wobei jede Rechnerein- 50 
heit einen Speicher (31, 32) hat, mit folgenden Ver- 
fahrensschritten: 

— Speichern einer Kopie der Softwarepro- 
gramme, welche auf jeder Rechnereinheit (1, 2, 

3) lauf en, in anderen Rechnereinheiten (1, 2, 3); 55 

— zyklisches Obertragen des Status der lau- 
fenden Softwareprogramme uber den Daten- 
bus (4, 5, 6) von jeder Rechnereinheit (1, 2, 3) zu 
den anderen Rechnereinheiten; 

— Speichern des empfangenen Status in den eo 
Rechnereinheiten (1, 2, 3); und 

— dann, wenn eine Stoning in einer Rechner- 
einheit (3) auftritt, Starten der zugehorigen 
Softwareprogramme auf einer anderen Rech- 
nereinheit (2) oder verteilt auf mehreren ande- 65 
ren Rechnereinheiten (1, 2) unter Verwendung 
des zuletzt gespeicherten Status. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
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zeichnet, daB jede Rechnereinheit (1, 2, 3) zykiisch 
einen Selbsttest durchfuhrt und die Ergebnisse die- 
ses Selbsttests an die anderen Rechnereinheiten 
abertragt und daB dann, wenn eine St6rung in einer 
Rechnereinheit (3) erkannt wird, oder dann, wenn 
nach einer vorgegebenen Zeitspanne von einer 
Rechnereinheit (3) kein Ergebnis ubermittelt wird, 
die Softwareprogramme dieser einen Rechnerein- 
heit (3) auf der (2) oder den (1, 2) anderen Rechner- 
einheiten) gestartet werden. 

3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, daB zu keinem Zeitpunkt mehr als 
eine Version eines Sofrwareprogrammes aktiviert 
wird. 

4. Verfahren nach einem der Anspruche 1 bis 3, 
dadurch gekennzeichnet, daB die Rechnereinheiten 
(2; 1, 2), auf denen die Softwareprogramme der 
gestorten Rechnereinheit (3) gestartet werden, 
nach MaBgabe einer festen Zuweisung ermittelt 
werdea 

5. Verfahren nach einem der Anspruche 1 bis 3, 
dadurch gekennzeichnet, daB die Rechnereinheiten 
(1, 2, 3) zykiisch ihre Auslastung ermitteln und den 
anderen Rechnereinheiten mitteilen, und daB die 
Rechnereinheiten (2; 1, 2), auf denen die Software- 
programme der gestorten Rechnereinheit (3) ge- 
startet werden, abhangig von einem Vergleich der 
Auslastungen der ungestorten Rechnereinheiten 
bestimmt werden. 

6. Verfahren nach einem der vorangehenden An- 
spruche, dadurch gekennzeichnet, daB 

die Kopie der Softwareprogramme in einem Ar- 
beitsspeicher (31) der Rechnereinheiten (1, 2, 3) ge- 
speichert wird, 

im ungestdrten Betrieb in jeder Rechnereinheit (1, 
2, 3) nur die eigene Version der Softwareprogram- 
me aktiviert wird, und 

bei Storung einer Rechnereinheit (3) die kopierte 
Version deren Softwareprogramme in dem Ar- 
beitsspeicher (31) einer anderen Rechnereinheit ak- 
tiviert, mit dem zuletzt gespeicherten Status aktua- 
lisiert und gestartet wird. 

7. Verfahren zum Betreiben eines Rechnersystem 
nach einem der vorangehenden Anspruche, da- 
durch gekennzeichnet, daB die Rechnereinheiten (1, 
2, 3) jeweils mit einem Peripheriebus (7, 8, 9) ver- 
bunden werden und bei Storung einer Rechnerein- 
heit (3) deren Peripheriebus (9) mit dem Peripherie- 
bus (7, 8) der anderen Rechnereinheiten) (1, 2) ver- 
bunden wird. 

8. Verfahren nach einem der vorangehenden An- 
spruche, dadurch gekennzeichnet, daB den ver- 
schiedenen Softwareprogrammen Prioritaten zu- 
gewiesen werden, und bei StSrung einer Rechner- 
einheit (3) die entsprechenden Softwareprogram- 
me nach MaBgabe der Prioritaten auf der (2) oder 
den (1, 2) anderen Rechnereinheiten gestartet wer- 
den. 

9. Rechnersystem, mit 

wenigstens zwei Rechnereinheiten (1, 2, 3), einem 
Datenbus (4, 5, 6) zum Verbinden der Rechnerein- 
heiten, einer Datenschnittstelle (33) in jeder Rech- 
nereinheit zum Obertragen des Status laufender 
Softwareprogramme uber den Datenbus (4, 5, 6) zu 
den jeweils anderen Rechnereinheiten (1, 2, 3), 
einem Speicher (31, 32) in jeder Rechnereinheit 
zum Speichern einer Kopie der Softwareprogram- 
me, welche auf den jeweils anderen Rechnereinhei- 
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ten (1, 2, 3) laufen, und zum Speichern des von den 
anderen Rechnereinheiten (1, 2, 3) ubertragenen 
Status und 

einer Steuereinrichtung (31) in jeder Rechnerein- 
heit (1, 2, 3) zum Starten der So ftwarepro gramme 5 
einer anderen Rechnereinheit (3) unter Verwen- 
dung des zuletzt gespeicherten Status, wenn in die- 
ser anderen Rechnereinheit (3) eine Stoning auf- 
tritt 

10. Rechnersystem nach Anspruch 9, dadurch ge- 10 
kennzeichnet, daB jeder Rechnereinheit (1, 2, 3) ein 
Peripheriebus (7, 8, 9) zugeordnet ist, und Schalt- 
mittel (10, 11, 12) zum wahiweisen Verbinden der 
Peripheriebusse (7, 8, 9) vorgesehen sind. 

11. Rechnersystem nach Anspruch 10, dadurch ge- 15 
kennzeichnet, daB die Schaltmittel (10, 11, 12) steu- 
erbare Schalter aufweisen. 

12. Rechnersystem nach Anspruch 10 oder 11, da- 
durch gekennzeichnet, daB die Schaltmittel (10, 11, 
12) fur eine paarweise Verbindung der Peripherie- 20 
busse (7, 8, 9) angeordnet sind, so daB beide Rech- 
nereinheiten (1, 2; 2, 3; 1, 3), die einem Peripherie- 
buspaar (7, 8; 8, 9; 7, 9) zugeordnet sind, bei ge- 
schlossenen Schaltmitteln Zugriff auf beide Peri- 
pheriebusse das Paares und daran angeschlossenen 25 
Peripheriegerate (13— 16, 17—21, 22—25) haben. 

13. Rechnersystem nach einem der Anspruche 9 bis 

12, dadurch gekennzeichnet, daB der Datenbus ein 
Hochgeschwindigkeitsdatenbus ist 

14. Rechnersystem nach einem der Anspruche 9 bis 30 

13, dadurch gekennzeichnet, daB drei Rechnerein- 
heiten (1, 2, 3) vorgesehen sind 

15. Rechnersystem nach Anspruch 14, dadurch ge- 
kennzeichnet, daB die Peripheriebusse (7, 8, 9) ring- 
farmigverbundensind. 35 

16. Rechnersystem nach einem der Anspruche 9 bis 
15, dadurch gekennzeichnet, daB jede Rechnerein- 
heit (1, 2, 3) einen Multitasking- Rechner aufweist 
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